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СТАТИЧНИЙ МЕТОД УСУНЕННЯ 
НАДЛИШКОВИХ 1НФОРМАЩИНИХ ЗВ’ЯЗКИВ У 
ПЕРЕДУМОВАХ ПЕРЕХОД1В ФОРМАЛЬНИХ 
МОДЕЛЕЙ ТРАНЗИЩИНИХ СИСТЕМ 


Цель предлагаемого метода — сократить исследуемое пространство поведения формальных моделей, 
и, как следствие, повысить эффективность анализа ее свойств. В основу метода положен алгоритм 
статического символьного анализа предусловии переходов модели. 

Ключевые слова: верификация, редукция пространства поиска, информационная 
зависимость. 
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Мета запропонованого методу — скоротити простф, що дослёджуеться, повейнки формальних 
моделей, та, як наслдок, шдвищити ефективн1сть анал!зу Й властивостей. В основ! методу лежить 
алгоритм статичного символьного анал1зу передумов переход1в модели. 
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Введение 


Проверка свойств формальных моделей программных систем сталкивается с 
проблемой комбинаторного взрыва вариантов поведения [1]. Часто верификаторы 
выполняют «лишний» перебор, рассматривая различные перестановки фактически 
независимых участков поведения. Одна из причин этой проблемы лежит в 
формальном определении и эффективности методов вычисления «независимости». 
Ввиду сложности вычисления семантической зависимости, на практике часто пользуются 
критерием синтаксического вхождения. Например, существующие методы устранения 
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избыточного интерливинга, опираясь на формальные определения семантического 
отношения независимости (перестановочности) [2, 3] на практике реализуют 
аппроксимацию на основе синтаксического анализа (например, [4]). Такое вычисление 
независимости само по себе выполняется эффективно, но в результате фактические 
информационные связи значительно преувеличиваются, и, как следствие, существенная 
часть избыточных перестановок не устраняется. 

Определение отношения зависимости и алгоритмы его вычисления актуальны для 
современных методов анализа программ [5-8]. Чем точнее специфицировано это 
отношение, тем точнее можно рассуждать о тех или иных свойствах программ, строить 
более удачные абстракции, эффективнее сокращать исследуемое пространство 
поведения, осуществлять отладку, тестирование, слайсинг, распараллеливание, 
оптимизацию и т.п. 

Непосредственная задача предлагаемого метода — эффективно вычислить 
достаточную для проверки свойств часть информационной зависимости в формальной 
модели на уровне пред- и постусловий ее переходов, причем статически, не прибегая к 
построению пространства ее состояний. Первый раздел статьи описывает мотивирующие 
примеры, суть предлагаемого метода изложена во втором разделе. 


Мотивирующие примеры 


Существующие методы активно используют поток управления и часто 
предназначены только для структурированных программ. Предлагаемый метод 
редукции информационных связей особенно актуален для моделей транзиционных 
систем, заданных неупорядоченным множеством переходов без явно заданного 
потока управления. 

Пример 1. Следующий пример типичный для систем управления: главный 
модуль последовательно обрабатывает информацию с внешних датчиков а и Ъ: 
Атрибуты модели: СЕ:{Еа, ЕЪ}; а _з6аке:{1,2}; Б з6аке:{1,2,3}. 
Переходы модели: 

Таблица 1. Переходы модели для примера 1. 


Имя перехода Предусловие Постусловие 

Та1 СЕ=Еа & а в баЕе=1 СЕНО; ава сет 

Та2 СЕВ а оавыыи вора ва Ь 

ТЬ1 СЕВ & Бо 5 саве=|. Сева лова ео 

ТА ЕЕ Ва =2 СЕ-Еаух. у всаселяэ 

ТЗ СЕНЕ: Басе Э Сео вай” ос вЕаееЕи 
Начальное состояние: СЕ=ГКа, а_з6афе=1, Ь з6афе=1. 


Заметим, что состояния датчиков не влияют на последовательность их обработки. 
Однако синтаксический анализ не выявит такой особенности. Таким образом, 
наивному алгоритму потребуется построить 13 состояний (последнее будет таким 
же, как и первое): 


Трасса, ведущая к циклу: 
а, Ро. Па, ОР, асс тЬ тар, ФВ, ат, ТЬр Тао» БУ 
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В данном примере количество состояний определяется формулой, 
выражающей произведение количества датчиков на наименьшее общее кратное для 
количества их состояний, в данном случае: 2*НОК(2,3)=12. 


1) СЕ:ЕКа, а з6абе:1, Ь збабе:1 
2) СЕ:ЕБ, а_збафе:2, Ю зфабе:1 
3) СЕ:Ра, а_збафе:2, Ю збафе:2 
4) СЕ:ЕЬ, а_з6аке:1, Ю збафе:2 
5) СЕ:Ка, а з$афе:1, БЬ збафбе:3 
6) СЕ:ЕЮ, а з$абе:2, Ь збабе:3 
7) СЕ:Ра, а_з6а®е:2, Ю збафе:1 
8) СЕ:ЕЮ, а з$абе:1, Ь зба®е:1 
9) СЕ:Ка, а з$абе:1, Ь збаке:2 
10) СЕ:ЕЮ, а з6абе:2, Ь збабе:2 
11) СЕ:Ка, а з6абе:2, Ь збаке:3 
12) СЕ:ЕЮ, а з6абе:1, Ь збабе:3 
13) СЕ:Ка, а з6абе:1, Ь збабе:1 


Рис. 1. Состояния модели для примера 1. 


Пример 2. Приведем простую модификацию первого примера: добавим 
недетерминированные «пустые» переходы Та_етреу, Тр _етр®у: 


Таблица 2. Переходы модели для примера 2. 


Имя перехода Предусловие Постусловие 
Та етрЕу СЕ=Еа СЕ: =ЕЬ 
ТБ ешрЕу СЕ=ЕЬ СЕ:=ЕКа 


Модифицированный пример моделирует параллелизм (изменение значений 
датчиков происходит по сути асинхронно), а количество состояний растет уже 
экспоненциально с количеством датчиков. Заметим, что такой интерливинг не будет 
устранен методами с синтаксическим анализом информационных связей. 


Описание метода 


Данный метод развивает работы [9-11] по сокращению анализируемого 
пространства поведения формальных моделей. Далее приведено описание 
формальной модели и принципа построения графа зависимости. 


Формальная модель 


Пусть задано конечное множество атрибутов А=уУ,,у,.....у, и пусть также для 


каждого атрибута у, е А определена конечная область допустимых значений П(у,). 


Определение 1. Состоянием называется множество пар атрибутов и их 
значений (констант) вида {(у=а):уЕ АлАЕП(»}}. 


Назовем предусловием некоторую бескванторную формулу логики предикатов 
над атрибутами множества А и константами из соответствующих областей 
допустимых значений О. Назовем постусловием множество присваиваний вида у := 
ехр"(В), где В < А - подмножество атрибутов, а ехр"(В) — некоторая функция над 
этими атрибутами. 


Определение 2. Переходом называется тройка вида (1,@,р), где Е -— имя 
перехода, & - его предусловие, а В — постусловие. 
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Семантика переходов аналогична охраняемым командам Дейкстры [12]: если в 
некотором состоянии $ предусловие перехода Е истинно, то модель может 
выполнить этот переход и перейти в новое состояние $’ = ($), которое отличается 
от предыдущего значениями тех атрибутов, которым было выполнено присваивание 
новых значений в постусловии. Переходы детерминированы и выполняются 
атомарно за конечное время. 


Определение 3. Формальной моделью называется семерка вида М = <5, 5%, Т, А, 
р, 1, Е>, где 5 — конечное множество состояний, 5у=5 — начальное состояние, Г— 
конечное множество переходов, А — атрибутов, р — соответствующие области 
допустимых значений. Интерпретация атомарных формул предусловий задана 
функцией Г:5хП —{Т,Е}, где П -— множество всех атомарных формул из 
предусловий переходов и проверяемых свойств, Т и Е соответственно обозначают 
«истина» и «ложь». Ё:(5,у) >> О(») — функция, вычисляющая значение атрибута у на 
состоянии $5. 

Такая формальная модель служит удобным математическим аппаратом для 
описания поведения широкого спектра систем асинхронно-взаимодействующих 
процессов и их абстракций. Атрибуты могут быть логически разбиты на 
подмножества в соответствии с их принадлежностью процессам; переходы могут 
быть параметризированы идентификатором процесса. 


Определение 4. Истинность формулы ф на состоянии 3, записывается 3 | =ф, 
определяется индуктивно по структуре формулы ф: 


з |= а = Т(з,а) = Т- если атомарный предикат а истинен в 5, иначе Е; 
5 |= › = 3 |7 ф- если формула ф не выполняется в $; 

8 |= Флф> = $ |= флз |=ф> — если в $ выполняется формула Фу и ф›; 

8 |= Фф\Уф> = $ |= фУз |=ф> — если в $ выполняется формула Фф! или Фо. 


Запись 5—5’ означает, что предусловие перехода 1 выполняется в состоянии 
5, Т.е. $ = а, и выполнение присваиваний постусловия Д, преобразует 5 в 5’. 


Определение 5. Трассой в М из состояния 5; в состояние 5; называется такая 


последовательность состояний и переходов 5,—"_ 55. — 55, ,...5,, ЧТО 


741 12 


5; ЕХЛЬЕ ЕТ для всех КЕг.]. 
Определение 6. Состояние 5 достижимо в модели М, если существует трасса, 
ведущая из начального состояния 50 В 5. 


Под поведением модели в общем случае понимается множество ее трасс, 
выходящих из начального состояния. 


Выполнение переходов и граф зависимостей 


Для выполнения перехода + из состояния 3 в новое состояние з’ данная работа 
использует процедуру Ехапз1Е (3, &) ; ее подробное описание приведено в [9]. Так, 
выполнение Егапз1® построит множество В атрибутов, значений которых 
достаточно для вычисления истинности предусловия перехода + на состоянии $, и, 
если переход выполним, новое состояние $3’, множество М атрибутов, которым 
осуществлялось присваивание, а также для каждого атрибута меМ множество У [м] 
атрибутов, которые входят в выражение, формирующее значение м. Пример ее 
работы с переходом Та1 продемонстрирован на рис. 2. 
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Предусловие перехода Та1 : СЕ=Га Л а _з6афе=1 
Постусловие перехода Та1 : СЕ:=ЕЬ ; а_збабе:=2 


Вход: ((СЕ=Ка, а зКабе=1,Ь збабе=1),Та1) 
Выход: 
(тези1%Е=Т; $’=(СЕ=ЕБ, а зкабе=2,Ю з6афе=1); 


В={СЕ, а_зсабе};М={СЕ, а_збабе};\[]=@) 


\ у 
Рис. 2. Пример работы процедуры Ехапз1® для перехода 
Та1 


Рис. 3. Подграф для Та1. 
На рис. 3 показан подграф, построенный при выполнении перехода Та1. 


Определение 7. Графом зависимости называется размеченный ориентированный 
ациклический граф, разметки вершин которого представляют собой пары вида 
«атрибут=значение», а дуги отмечают факт зависимости. 


Далее предполагается, что информационная зависимость модели представлена 
графом, удовлетворяющим определению 7 (далее для краткости О-граф). В основу 
данного метода положена идея сокращения множества дуг О-графа путем наложения 
дополнительных условий для их порождения. 


Алгоритм определения достаточного подмножества информационных 
связей 


Состояния изменяются постусловиями переходов модели, которые в свою 
очередь, по определению, состоят из множества присваиваний. Очевидно, что, если 
одинаковое присваивание встречается во всех переходах, то можно игнорировать 
информационную зависимость такого присваивания от предусловий (исключением 
может стать тупиковая ситуация). Интуитивно, суть алгоритма такова: для каждого 
присваивания построить дизъюнкцию предусловий всех переходов, в постусловиях 
которых встречается это присваивание. Результирующая формула будет 
достаточным условием для выбранного присваивания, следовательно, любую 
дополнительную связь можно считать избыточной, и в дальнейшем, при выполнении 
перехода, ее можно игнорировать без ущерба для точности проверяемых свойств. 


Определение 8. Достаточным общим условием для выполнения присваивания 
называется дизъюнкция предусловий всех переходов модели, содержащих данное 
присваивание. 


Алгоритм 1. Построение условий для порождения информационных связей, 

достаточных для сохранения трассовой эквивалентности. 
Вход. Формальная модель. 
Выход. Массив ЗОЕЕТСТЕМТ[] достаточных общих условий для выполнения 
каждого присваивания. 
Описание. 

Шаг 1. Построить множество различных присваиваний АЗЗТСМ$ из постусловий 
всех переходов модели. 
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Для каждого присваивания аз519пе АЗЗТСМ$ выполнить шаги 2,3: 
Шаг 2. Построить множество ТА переходов, постусловия которых включают 
присваивание аз$319п: ТА :={ {:{ЕТ лазз1оп е Д, }. 


Шаг 3. Построить формулу, выражающую достаточное общее условие для 
выполнения присваивания З5ОЕГЕТСТЕМТ [аз5191] := 51тр11Еу ( У, @, ). 
{Е 


В третьем шаге использована функция $1пр11Еу, суть которой заключается в 
упрощении логических выражений. Чем меньше различных атрибутов останется в 
упрощенной формуле, тем большим будет сокращение количества дуг в О-графе. 

Далее, для сокращения информационных связей, полученный массив 
ЗОЕЕТСТЕМТ [ ] должен быть использован согласно следующему алгоритму: 


Алгоритм 2. Сокращение предусловий. 
Не теряя общности, для простоты описания предполагается, что предусловия 
представляют собой конъюнкцию предикатов. 
Вход. Формальная модель и массив ЗОЕЕТСТЕМТ [аз51а91]. 
Выход. Массив РВЕ [] сокращенных предусловий для каждого перехода. 
Описание. Для каждого перехода Е ЕТ выполнить: 
Шаг 1. Построить исходную формулу предусловия РВЕ [+] := а,. 
Шаг 2. Построить множество атрибутов АТ, синтаксически входящих в РВЕ [+]. 
Шаг 3. Для каждого атрибута аеАТ, построить множество предикатов РА 
формулы РВЕ [ ] синтаксически его содержащих и выполнить шаги 4—6. 
Шаг 4. Построить новую сокращенную формулу пемРВЕ предусловия путем 
удаления всех предикатов РА из РВЕ [1]. 
Шаг 5. Построить формулу Е5 из таких ЗОЕЕТСТЕМТ[], присваивания 
которых встречаются в (: Е5:= У  ЗОЕРЕТСТЕМТ [азз1091]. 


а51епеЕД, 


вы 


Шаг 6. Проверить выполнимость Е5 > пемРВЕ. Если выполнимо, то 
обновить формулу предусловия: РВЕ[{] : =пемРВЕ. 


Определение 9. Формула РВЕ [+], полученная в результате работы алгоритмов 
Ти 2, называется достаточным частным условием для выполнения перехода 5+ 


Необходимо отметить, что, при осуществлении перехода, алгоритм 
порождения достижимых состояний для проверки выполнимости этого перехода 
должен использовать исходную формулу предусловия, а для порождения графа 
информационных связей — соответствующее достаточное частное условие. Таким 
образом, множество дуг результирующего О-графа будет подмножеством дуг 
исходного графа. Назовем такой граф Кедисед-1-О-графом. 


Теорема 1. Кедисед-1-О-граф сохраняет трассовую эквивалентность 
относительно исходного О-графа. 


Пример. В результате применения алгоритма 1 была сокращена дуга (см. рис. 4), 
соединяющая вершины а_з+аЕе=1 и СЕ=ЕЪ. Этим выражен факт независимости 
значения потока управления от значения датчика. На рис. 5 представлен 
соответствующий Ведисед-1-О-граф: 
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Рис. 4. Сокращенный Рис. 5. Ведисед-1-О-граф для примера 1. 
подграф для перехода 
Та1. 

Заметим, что в Ведисед-1-О-графе нет связей, ведущих от значений датчиков к 
потоку управления; более того, значения датчиков группы а и Ь теперь не зависимы 
(нет пути на графе, который бы их соединял), а значит, их можно рассматривать как 
независимые функциональности со всеми вытекающими следствиями (отладка, 
тестирование и проверка достижимости упрощается — достаточно рассмотреть всего 
2*(тах(2,3))=6 состояний; слайсинг по одному из датчиков не будет включать 
другого; возможно оптимизирующее распараллеливание и т.д.). При этом множество 
возможных трасс не изменилось. 


Алгоритм определения сокращенного подмножества информационных 
связей 


Следующий алгоритм делает еще большие сокращения О-графа, прибегая к 
некоторым загрублениям в информационных связях, потенциально приводящим к 
потере тупиков. Формально, потеря тупиков нарушает трассовую эквивалентность, 
однако не влияет на доказательство достижимости. Идея этого алгоритма состоит в 
использовании подмножества состояний, обладающих свойством неполноты [13] для 
подмножества переходов, содержащих присваивания очередному рассматриваемому 
атрибуту. Введем следующие определения: 


Определение 10. Достаточным общим условием для невыполнения 
присваивания называется ДИЗЪюЮнНкция предусловий всех переходов модели, 
содержащих синтаксически иное присваивание тому же атрибуту, что и в данном 
присваивании. 


Определение 11. Сокращенным общим условием для выполнения 
присваивания называется дизъюнкция достаточного общего условия для его 
выполнения и отрицания достаточного общего условия для его невыполнения. 


Алгоритм 3. Построение условий для порождения сокращенного 

подмножества информационных связей. 
Вход. Формальная модель. 
Выход. Массив ЗОЕЕТСТЕМТ[] сокращенных общих условий для каждого 
присваивания. 
Описание. 

Шаг 1. Построить множество различных присваиваний АЗЗТСМ$ из постусловий 
всех переходов модели. 

Для каждого присваивания аз519пе АЗ ЗТСМ$ выполнить шаги 2-7: 
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Шаг 2. Построить множество ТА переходов, постусловия которых включают 
присваивание азз1ап: ТА :={1:1 ЕТ л а5$1юп е В}. 


Шаг 3. Построить множество присваиваний ОМАЗЗТСМ$, которые выполняют 
иное присваивание тому же атрибуту, что и в азз1оп. 

Шаг 4. Построить множество ТМА переходов на основании ОМАЗЗТСМ5: 
ТМА :=41:{ ЕТ л ипазя1юп е р}. 


Шаг 5. Построить формулу, выражающую достаточное общее условие для 


выполнения присваивания: 5А := У а... 
{ЕТА 


Шаг 6. Построить формулу, выражающую достаточное общее условие для 
невыполнения присваивания: 5МА := у а. 


Шаг 7. Построить формулу, выражающую сокращенное общее условие для 

выполнения присваивания: ЗОЕЕТСТЕМТ [азз191] := з1ир11Еу(5А\М —5МА). 

Далее требуется построить массив сокращенных предусловий РВЕ[] 
используя алгоритм 2. 


Определение 12. Формула РВЕ[ Е], полученная в результате работы 
алгоритмов Зи 2, называется сокращенным частным условием для выполнения 
перехода Е. 


Аналогично предыдущему случаю, при осуществлении перехода, для его 
выполнимости алгоритму порождения достижимых состояний следует использовать 
исходную формулу предусловия, а для построения графа информационных связей 
(при условии выполнимости) — соответствующую формулу сокращенного частного 
условия. Назовем такой граф Кедисеа-2-О-графом. 


Теорема 2. Множество достижимых состояний, порождаемых Кедисед-2-О- 
графом, включает множество достижимых состояний исходного О-графа. 


Следствие. Если некоторое состояние недостижимо в Кедисед-2-О-графе, то 
оно недостижимо и в исходном О-графе. 

Это делает Ведисед-2-О-граф привлекательным для повышения эффективности 
проверки достижимости -— на его основании можно строить достоверные выводы о 
недостижимости (например, переходов) и отсекать исследуемые ветви поведения. 


Выводы 


Предложен новый метод отсечения избыточных, по отношению к проверяемым 
свойствам, информационных связей в формальных моделях. Факт избыточности 
устанавливается путем символьного анализа формул предусловий переходов 
модели. Предложенные алгоритмы не порождают пространство состояний модели; 
их вычислительная сложность на исследуемых практических примерах линейна 
относительно количества присваиваний в переходах модели, что позволяет добиться 
высокой производительности. Результат работы метода — данные об избыточности 
связей — позволяют не рассматривать некоторые (независимые с точки зрения 
проверяемых свойств) перестановки действий, таким образом, сократить эффект 
«комбинаторного взрыва», и как следствие, повысить эффективность анализа 
свойств модели (в частности, проверки достижимости), отладки, а также 
тестирования, слайсинга, оптимизаций и т.п. 
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ВЕ5ОМЕ 

А. Ко]сЬт, А.Гебусвеу$Куу, 5.РойуепКо 
А ${айс теоа юг ешШитайоп оЁ гедипдапт дерепдепае$ ш ргесопаюп$ оЁ 
{га 01$ ог Гогта| поде[$ о? гап$1 оп 5у$ет5 

А пех шефо4 оЁ ешитайоп оЁ тедипдат (\ гезресё ю ргорегиез ипдег 
свесКт®) шоптайоп дереп4епслез ш гта! то4е[$ 1$ ргорозе4. ш ог4ег ю ргоуе Ше 
тедип4дапсу #ас® \е изе зутбо|с апа[уз1$ оЁ ргесоп@ оп КЮопич]а$ оЁР тоде| ‘гап1опз. 
Ргорозе4 а!еогт$ о поЁ оепегае то4е! зе зрасе, ап Фет сотри@аНопа| 
сотрИехйу 15 Ппеаг ш пашбег оЁ а551ептеп5 ш то4е фап$оп$ оп шуезисамеа 
ргасйса| ехатр!ез, усн геЙес$ ш вю регогтапсе. ТВе гези оЁ фе те#о4 1$ даа 
абойё гедипдапсу оЁГ Череп4депсез. И аПо\уз аусо4ше оЁ сопзение оЁ зоте 
(шерепаеп®) Вито о# асНоп$, ап4 $, ю гедисе сотЬтаюпа! ехроз1оп еЁесь апа, 
сопзедчепйу, ю пиргоуе еЁйслепсу оР то4е| ргорегиез апа[уз1$ (сВескшс геасвабИиу Рог 
ехатр|е), Чебизотпо, {езйпе, $Исте, орйпиханоп$ апа $0 оп. 


А.В. Колчин, А.А. Летичевский, С.В. Потиенко 
Статический метод устранения избыточных информационных связей в 
предусловиях переходов формальных моделей транзиционных систем 
Предложен новый метод отсечения избыточных по отношению к проверяемым 
свойствам информационных связей в формальных моделях. Факт избыточности 
устанавливается путем символьного анализа формул предусловий переходов 
модели. Предложенные алгоритмы не порождают пространство состояний модели; 
их вычислительная сложность на исследуемых практических примерах линейна 
относительно количества присваиваний в переходах модели, что позволяет добиться 
высокой производительности. Результат работы метода — данные об избыточности 
связей — позволяют не рассматривать некоторые (независимые) перестановки 
действий, таким образом, сократить эффект «комбинаторного взрыва», и, как 
следствие, повысить эффективность анализа свойств модели (в частности, проверки 
достижимости), отладки, а также тестирования, слайсинга, оптимизаций и т.п. 
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